시나공 정보처리기사 실기 - 데이터베이스 보안

데이터베이스 보안

- DB의 일부 또는 전체에 대해서 권한이 없는 사용자가 액세스 하는 것을 금지하기 위해 사용되는 기술

- 보안을 위한 데이터 단위 : 테이블 전체로부터 특정 테이블의 특정 행과 열에 있는 데이터 값에 이르기까지 다양함

 

암호화

- 데이터를 보낼 때 송신자가 지정한 수신자 이외에는 그 내용을 알 수 없도록 평문을 암호문으로 변환하는 것

- 암호화 과정 : 암호화되지 않은 평문을 암호문으로 바꾸는 과정 

- 복호화 과정 : 암호문을 원래의 평문으로 바꾸는 과정

- 암호화 기법

 · 개인키 암호 방식

 · 공개키 암호 방식

 

접근통제

- 데이터가 저장된 객체와 이를 사용하려는 주체 사이의 정보흐름을 제한하는 것

- 접근통제 3요소

접근통제 정책  /  접근통제 메커니즘  /  접근통제 보안모델

 

- 접근통제 기술

1. 임의 접근통제(DAC, Discretionary Access Control)

 · 데이터에 접근하는 사용자의 신원에 따라 접근 권한을 부여하는 방식

 · 데이터 소유자가 접근통제 권한을 지정하고 제어함

 · 객체를 생성한 사용자가 생성된 객체에 대한 모든 권한을 부여받고, 부여된 권한을 다른 사용자에게 허가할 수도 있음

 

2. 강제 접근통제(MAC, Mandatory Access Control)

 · 주체와 객체의 등급을 비교하여 접근 권한을 부여하는 방식

 · 시스템이 접근통제 권한을 지정함

 · DB 객체별로 보안 등급을 부여할 수 있음

 · 사용자별로 인가 등급을 부여할 수 있음

 

3. 역할기반 접근통제(RBAC, Role Based Access Control)

 · 사용자의 역할에 따라 접근 권한을 부여하는 방식

 · 중앙관리자가 접근통제 권한을 지정함

 · 임의 접근통제와 강제 접근통제의 단점을 보완하였음

 · 다중 프로그래밍 환경에 최적화된 방식

 

- 접근통제 정책

어떤 주체(who)가 언제(when), 어디서(where), 어떤 객체(what)에게, 어떤 행위(how)에 대한 허용 여부를 정의하는 것

- 접근통제 정책의 종류

1. 신분 기반 정책

 · 주체나 그룹의 신분에 근거하여 객체의 접근을 제한하는 방법

 · IBP(Individula-Based Policy) : 최소 권한 정책, 단일 주체에게 하나의 객체에 대한 허가를 부여함

 · GBP(Group-Based Policy) : 집단별로 지정된 기밀 허가에 따른 정책

2. 규칙 기반 정책

 · 주체가 갖는 권한에 근거하여 객체의 접근을 제한하는 방법

 · MLP(Multi-Level Policy) : 사용자나 객체별로 지정된 기밀 분류에 따른 정책

 · CBP(Compartment-Based Policy) : 집단별로 지정된 기밀 허가에 따른 정책

3. 역할 기반 정책

 · GBP의 변형된 정책. 주체의 신분이 아니라 주체가 맡은 역할에 근거하여 객체의 접근을 제한하는 방법

 

- 접근통제 매커니즘

 · 정의된 접근통제 정책을 구현하는 기술적인 방법

 · 접근통제 목록, 능력 리스트, 보안 등급, 패스워드, 암호화 등

 

- 접근통제 보안 모델

 · 보안 정책을 구현하기 위한 정형화된 모델

 · 종류

 1. 기밀성 모델

   · 군사적인 목적으로 개발된 최초의 수학적 모델

   · 기밀성 보장이 최우선

   · 군대 시스템 등 특수 환경에서 주로 사용

 2. 무결성 모델

   · 기밀성 모델에서 발생하는 불법적이 정보 변경을 방지하기 위해 무결성을 기반으로 개발된 모델

 3. 접근통제 모델 

   · 접근통제 매커니즘은 보안 모델로 발전시킨 것

   · 대표적으로 접근통제 행렬이 있음

   · 접근통제 행렬 : 임의적인 접근통제를 관리하기 위한 보안 모델. 행은 주체, 열은 객체의 권한 유형을 나타냄

 

- 접근통제 조건

 · 접근통제 매커니즘의 취약점을 보완하기 위해 접근통제 정책에 부가하여 적용할 수 있는 조건

 · 값 종속 통제 : 일반적으로는 객체에 저장된 값에 상관없이 접근통제를 동일하게 허용하지만, 값 종속 통제는 객체에 저장된 값에 따라 다르게 접근통제를 허용해야 하는 경우에 사용함

 · 다중 사용자 통제 : 지정된 객체에 다수의 사용자가 동시에 접근을 요구하는 경우 사용됨

 · 컨텍스트 기반 통제 : 특정 시간, 네트워크 주소, 접근 경로, 인증 수준 등에 근거하여 접근을 제어하는 방법. 다른 보안정책과 결합하여 보안 시스템의 취약점을 보완할 때 사용

 

- 감사 추적

 · 사용자나 애플리케이션이 DB에 접근하여 수행한 모든 활동을 기록하는 기능

 · 오류가 발생한 DB를 복구하거나 부적절한 데이터 조작을 파악하기 위해 사용됨